Delegado de Ciberseguridad OIV — Ley 21.663 | KLG Technology

Ley 21.663 · Art. 8° lit. i) — Obligación para OIV

Delegado de
Ciberseguridad:
contraparte formal
ante la ANCI.

Todo Operador de Importancia Vital está obligado por ley a designar un Delegado de Ciberseguridad. Este rol es la interfaz oficial entre la organización y la Agencia Nacional de Ciberseguridad, con responsabilidades concretas de reporte, coordinación y gobierno interno.

Obligatorio para OIV · Art. 8° lit. i)

Puede ser interno o externo (CISO as a Service)

Informa a la alta dirección y al directorio

Artículo 8° literal i) — Deberes específicos de los OIV · Ley N° 21.663

"Designar un delegado de ciberseguridad, quien actuará como contraparte de la Agencia e informará a la autoridad o jefatura o jefe superior del órgano o servicio de la Administración del Estado o a los directores, gerentes, administradores o ejecutivos principales, según lo definan las instituciones privadas."

Fuente oficial: Ley 21.663 · Biblioteca del Congreso Nacional de Chile ↗

Las cuatro dimensiones del cargo

¿Qué hace el Delegado de Ciberseguridad?

El artículo 8° literal i) define un rol con cuatro ejes de responsabilidad: ser la contraparte de la ANCI, informar a la alta dirección, coordinar el cumplimiento interno y articular la respuesta ante incidentes.

01

Contraparte de la ANCI

Interlocutor oficial ante la Agencia Nacional de Ciberseguridad

La ley establece que el Delegado es el punto de contacto formal y reconocido entre la organización y la ANCI. Toda comunicación oficial, requerimiento de información, instrucción o fiscalización de la Agencia se canaliza a través de este rol.

Recibir y gestionar notificaciones, instrucciones y requerimientos de la ANCI
Coordinar y responder fiscalizaciones e inspecciones de la Agencia
Reportar incidentes significativos dentro de los plazos del reglamento 2025
Mantener comunicación continua con el CSIRT Nacional ante eventos activos
Representar a la organización en coordinaciones regulatorias sectoriales

02

Reporte a la alta dirección

Enlace entre el riesgo técnico y el gobierno corporativo

La ley exige que el Delegado informe directamente a la más alta autoridad de la institución: directores, gerentes, administradores o ejecutivos principales en privados; jefes superiores en organismos públicos.

Elaborar reportes ejecutivos periódicos sobre postura de ciberseguridad
Informar al directorio sobre incidentes relevantes y su impacto operacional
Traducir riesgos técnicos a lenguaje de gobierno corporativo y financiero
Presentar el estado de cumplimiento de las obligaciones de la Ley 21.663
Proponer inversiones y recursos necesarios para mantener el nivel de seguridad

03

Cumplimiento normativo

Supervisión del cumplimiento de todas las obligaciones OIV

El Delegado no solo actúa hacia afuera: debe velar por que la organización cumpla el conjunto de deberes del artículo 8°, desde el SGSI hasta los planes de continuidad y las certificaciones.

Supervisar la implementación y mantención del SGSI continuo (art. 8° lit. a)
Asegurar que los planes de continuidad estén certificados y vigentes (lit. c)
Verificar que los registros de acciones del SGSI se mantengan actualizados (lit. b)
Coordinar ejercicios y simulacros periódicos de ciberseguridad (lit. d)
Supervisar el programa de capacitación y ciberhigiene del personal (lit. h)

04

Coordinación de respuesta

Liderazgo durante incidentes y comunicación a afectados

Cuando ocurre un incidente, el Delegado coordina la respuesta interna y las comunicaciones externas obligatorias, incluyendo la notificación a la ANCI y, cuando corresponda, a los potenciales afectados.

Activar y liderar el plan de respuesta a incidentes de ciberseguridad
Adoptar medidas de contención oportunas para reducir propagación (lit. e)
Notificar a afectados identificables cuando la Agencia lo requiera (lit. g)
Coordinar con proveedores, clientes y terceros impactados por el incidente
Documentar el incidente y presentar informe post-mortem a la dirección y ANCI

Artículo 8° lit. i) — Flexibilidad de designación

¿Quién puede ejercer el cargo?

La ley no exige que el Delegado sea un funcionario interno de planta. Las instituciones privadas pueden definir libremente la modalidad de designación, lo que abre la puerta al modelo de servicio externo.

🏢

Interno

Funcionario de la propia organización con dedicación parcial o completa al rol. Requiere perfil senior con conocimiento técnico y de gobierno.

🤝

Externo (servicio)

Proveedor especializado designado formalmente por la institución. Permite acceder a expertise senior sin estructura interna compleja.

⚖️

Sector público

En organismos del Estado, informa al jefe superior del servicio. La designación debe ser formal y documentada ante la ANCI.

🏗️

Sector privado

En empresas privadas, informa a directores, gerentes o ejecutivos principales. La institución define internamente la línea de reporte.

Artículo 8° — Contexto completo del rol

El Delegado debe supervisar
todas las obligaciones OIV

El cargo no opera en aislamiento. El Delegado es responsable de velar por el cumplimiento del conjunto de deberes que la ley impone a los OIV, coordinando cada área con la ANCI.

a

SGSI continuo

Supervisar el sistema de gestión de seguridad de la información que evalúa riesgos sobre redes, sistemas y continuidad operacional.

b

Registro auditado

Asegurar que se mantiene el registro de acciones del SGSI conforme al reglamento de la Agencia. Trazabilidad obligatoria y demostrable.

c

Planes de continuidad

Coordinar la elaboración, certificación y revisión bienal de los planes de continuidad operacional y ciberseguridad conforme al art. 28.

d

Ejercicios y simulacros

Organizar operaciones continuas de revisión, simulacros de redes y sistemas, y comunicar hallazgos al CSIRT Nacional en la forma reglamentaria.

e

Contención expedita

Liderar la adopción oportuna de medidas para reducir impacto y propagación de incidentes, incluida la restricción de acceso a sistemas.

h

Capacitación continua

Supervisar los programas de formación, educación y campañas de ciberhigiene para trabajadores y colaboradores de la organización.

Operación del cargo

El ciclo operativo del Delegado de Ciberseguridad

El rol no es reactivo ni puntual: opera en un ciclo permanente que abarca gobierno, cumplimiento, vigilancia y respuesta coordinada.

Eje 1 · Gobierno

Reporte a la dirección

Informes ejecutivos periódicos, presentaciones al directorio, traducción del riesgo técnico en lenguaje de negocio y propuesta de recursos.

→

Eje 2 · Cumplimiento

Supervisión normativa

Verificación continua del SGSI, certificaciones, planes de continuidad, registros y capacitaciones. Estado de cumplimiento documentado ante ANCI.

→

Eje 3 · Vigilancia

Monitoreo y simulacros

Coordinación de ejercicios, revisiones de redes y sistemas, análisis de amenazas y comunicación de hallazgos al CSIRT Nacional.

→

Eje 4 · Respuesta

Gestión de incidentes

Activación del plan de respuesta, coordinación interna y externa, reporte a ANCI en plazos reglamentarios y notificación a afectados.

Entregables concretos del Delegado ante la ANCI

📄

Acto formal de designación

Resolución o acuerdo de directorio que designa al Delegado y lo notifica a la ANCI, con identificación e información de contacto.

🚨

Reportes de incidentes

Notificaciones formales de incidentes significativos dentro de los plazos definidos por el Reglamento de Reporte de Incidentes (2025).

📊

Estado de cumplimiento

Informes periódicos a la ANCI sobre el estado de implementación de los deberes del art. 8°, incluyendo SGSI y planes certificados.

🔒

Certificaciones art. 28

Coordinar y acreditar las certificaciones de planes de continuidad operacional y ciberseguridad ante entidades autorizadas por la ANCI.

🧪

Resultados de simulacros

Comunicación al CSIRT Nacional de los hallazgos de ejercicios, simulacros y análisis de detección de amenazas en redes y sistemas.

👥

Notificación a afectados

Cuando la Agencia lo requiera, informar a potenciales afectados identificables sobre incidentes que puedan comprometer gravemente su información.

Artículos 38–40 · Infracciones y sanciones

El costo de no designar al Delegado

No designar un Delegado de Ciberseguridad o no cumplir con las obligaciones que recaen sobre él constituye una infracción directa a la Ley 21.663, con consecuencias para la organización y sus directivos.

Infracciones gravísimas — OIV

40.000 UTM

Equivalente a aprox. USD 3 millones

No designar Delegado de Ciberseguridad siendo OIV calificado
Omitir el reporte de incidentes significativos a la ANCI en los plazos
Obstaculizar o no cooperar con una fiscalización de la Agencia
No contar con planes de continuidad certificados conforme al art. 28

Ver art. 39 y 40 en BCN ↗

Responsabilidad de directivos — Art. 47

Personal

Responsabilidad administrativa del jefe superior

El jefe superior del organismo público responde administrativamente por infracciones
En empresas privadas, la responsabilidad alcanza a directores y ejecutivos principales
El directorio no puede delegar su responsabilidad de supervisión en materia de ciberseguridad
La ley eleva la ciberseguridad a materia de gobierno corporativo con implicancias legales directas

Ver art. 47 en BCN ↗

Cómo KLG Technology cubre este requisito

CISO as a Service:
su Delegado de Ciberseguridad externo

KLG Technology actúa como Delegado de Ciberseguridad externo para Operadores de Importancia Vital, cumpliendo el literal i) del artículo 8° sin que la organización deba contratar un cargo interno de planta.

Con certificación ISO/IEC 27001 y experiencia en sectores regulados como energía, salud y minería, el equipo de KLG asume la interlocución con la ANCI, el reporte ejecutivo al directorio y la supervisión del cumplimiento normativo completo.

🧑‍💼

CISO as a Service

Delegado de Ciberseguridad externo — cubre el art. 8° lit. i) como contraparte formal de la ANCI

📋

GRC · ISO 27001

SGSI, registros, políticas y planes de continuidad certificados — cumplimiento integral del art. 8°

📡

SOC · Monitoreo 24×7

Detección, simulacros y reporte de incidentes al CSIRT Nacional dentro de los plazos reglamentarios

🔍

Assessment de Ciberseguridad

Diagnóstico inicial de brecha frente a las obligaciones OIV con hoja de ruta de cumplimiento priorizada

🎓

Concientización y cultura

Programa de capacitación y ciberhigiene continua exigido por el art. 8° lit. h) para OIV

¿Su organización ya designó su Delegado de Ciberseguridad?

Si su empresa ha sido o podría ser calificada como OIV, la designación del Delegado es obligatoria. KLG Technology puede asumir este rol de forma inmediata, sin procesos de contratación internos complejos.

Solicitar CISO as a Service → Ver más sobre la Ley 21.663

Nav Ley 21.663 — KLG

⚖ Ley 21.663 — Navegar

🛡 Medidas permanentes › 👤 Delegado OIV › 📡 Reporte incidentes › 📋 SGSI › 🎓 Cultura y capacitación